Adobe Acrobat和Reader是美國Adobe公司PDF文檔軟件，Adobe Reader免費(fèi)使用，可查閱PDF文檔，無法進(jìn)行修改加水印等編輯操作，而Adobe Acrobat則是收費(fèi)的，除了基本查閱PDF外，可進(jìn)行高級編輯操作。

11月3日，Adobe為 Acrobat和Reader發(fā)布了緊急安全更新，這些更新解決了被評為危急和重要等任意代碼執(zhí)行漏洞 。以下是漏洞詳情：

漏洞詳情

來源：

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

1.CVE-2020-24435 嚴(yán)重程度：危急

該漏洞主要是由于基于堆的緩沖區(qū)溢出引起的，成功利用此漏洞可導(dǎo)致任意代碼執(zhí)行。

2.CVE-2020-24436 嚴(yán)重程度：危急

該漏洞主要是由于越界寫操作引起的，成功利用此漏洞可導(dǎo)致任意代碼執(zhí)行。

3.CVE-2020-24430，CVE-2020-24437 嚴(yán)重程度：危急

該漏洞主要是釋放后重用（Use-after-free）引起的，成功利用此漏洞可導(dǎo)致任意代碼執(zhí)行。

4.CVE-2020-24433 嚴(yán)重程度：重要

該漏洞主要是訪問控制不當(dāng)引起的，成功利用此漏洞可導(dǎo)致本地特權(quán)升級

5.CVE-2020-24432 嚴(yán)重程度：重要

該漏洞主要是輸入驗(yàn)證不正確引起的，成功利用此漏洞可導(dǎo)致任意JavaScript執(zhí)行

6.CVE-2020-24429 嚴(yán)重程度：重要

該漏洞主要是由于簽名驗(yàn)證繞過引起的，成功利用此漏洞可導(dǎo)致本地特權(quán)升級

7.CVE-2020-24427 嚴(yán)重程度：重要

該漏洞主要是輸入驗(yàn)證不正確引起的，成功利用此漏洞可導(dǎo)致敏感信息泄露

8.CVE-2020-24431 嚴(yán)重程度：重要

該漏洞主要是由于安全功能繞過引起的，會導(dǎo)致動態(tài)庫注入攻擊（動態(tài)庫注入是指在程序啟動或運(yùn)行的時(shí)候，通過某種手段加載另一套接口庫，替換原有依賴庫中的函數(shù)。這樣可以達(dá)到改變程序功能而又不對原有代碼進(jìn)行修改的目的）

受影響的產(chǎn)品版本

Windows和macOS平臺：

Acrobat DC 和 Acrobat Reader DC：2020.012.20048及更早版本

Acrobat 2017和Acrobat Reader 2017 ：2017.011.30175及更早版本

Acrobat 2020和Acrobat Reader 2020 ：2020.001.30005及更早版本

解決方案

Windows和macOS平臺：

對于 Acrobat DC 和 Acrobat Reader DC： 應(yīng)用2020.013.20064升級補(bǔ)丁修復(fù)

對于 Acrobat 2017和Acrobat Reader 2017： 應(yīng)用2017.011.30180升級補(bǔ)丁修復(fù)

對于 Acrobat 2020和Acrobat Reader 2020： 應(yīng)用2020.001.30010升級補(bǔ)丁修復(fù)

Adobe建議用戶按照以下說明將其軟件安裝更新到最新版本。

最新的產(chǎn)品版本可通過以下方法之一提供給最終用戶：

用戶可以通過選擇幫助》檢查更新來手動更新其產(chǎn)品安裝。

檢測到更新后，產(chǎn)品將自動更新，而無需用戶干預(yù)。

可以從Acrobat Reader下載中心下載完整的Acrobat Reader安裝程序?。

對于IT管理員（托管環(huán)境）：

從ftp://ftp.adobe.com/pub/adobe/下載企業(yè)安裝程序?，或參考特定的發(fā)行說明版本以獲取安裝程序的鏈接。

通過首選的方法（例如AIP-GPO，引導(dǎo)程序，SCUP / SCCM（Windows））或在macOS，Apple Remote Desktop和SSH上安裝更新。

責(zé)任編輯：PSY